Autores
Una nueva operación maliciosa está inundando Skype. Es una amenaza que todavía está activa.
Se distribuye mediante ingeniería social, utilizando los ordenadores equipados con una versión infectada de Skype para mandar mensajes masivos como estos a sus contactos:
Creo que no volveré a dormir después de haber visto esta foto
http://www.goo.gl/XXXXX?image=IMG0540250-JPG
Por favor dame tu opinión sobre esta foto que edité http://www.goo.gl/XXXXX?image=IMG0540250-JPG
El servicio para acortar URLs Goo.gl muestra que por ahora se ha pulsado más de 170.000 veces en las URL maliciosas y sólo hace una hora habían alrededor de 160.000 clicks. Esto significa que la campaña está activa con alrededor de 10.000 clicks por hora y 2,7 clicks por segundo.
La mayoría de las víctimas proviene de Rusia y Ucrania:
Otros países que podrían estar afectados son: China, Italia, Bulgaria y Taiwán.
Parece que la operación está funcionando desde el primero de marzo, por lo menos ese fue el día en que se creó la URL corta en Google, pero ha crecido con fuerza en las últimas horas. Este gráfico muestra la cantidad de clicks en las últimas dos horas:
Por ahora, VirusTotal indica que 12 de los 46 antivirus que tiene registrados detectan la amenaza. La tecnología en la nube de Kaspersky AV detecta el ejemplar malicioso como UDS:DangerousObject.Multi.Generic
Ahora hablemos un poco sobre el malware en sí. Está escrito en Visual Basic. Las subrutinas llevan nombres como Lenka, Pier, Christiane, Ryann, etc. Las siguientes expresiones, escritas en inglés, se utilizan como parte de la ingeniería social en Skype:
jajaja
¿Éste eres tú?
¿Ésta es una foto tuya?
Por favor dame tu opinión sobre esta foto
¡Esta foto es divertidísima!
No puedo creer que todavía tenga esta foto
Alguien me mostró tu foto
La verdad es que tu foto no es tan buena
¡Me encanta tu foto!
¿Qué te parece mi nuevo corte de pelo?
Te ves muy linda en esta foto
Tienes que ver esta foto
Por favor echa un vistazo a mi nueva foto
Por favor dame tu opinión sobre esta foto
¿Debería subir esta foto a Facebook?
Alguien me dijo que esta foto es tuya
El malware también puede propagarse mediante USB. Cuando infecta un equipo, el malware utiliza un protocolo IRC para interactuar con el Centro de Comando y Control como parte de una red zombi. La cadena de caracteres en la muestra que dirige al archivo del proyecto VB es C:UserssDesktopMust Use Different NameHqwKHavivah.vbp.
Por último, esto también es interesante:
Sígueme en Twitter @dimitribest.
Autores
De los mismos autores
En la misma categoría
Avalancha en Skype